[Linux] Qmail met md5 authenticatie

Pagina: 1
Acties:

  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 20-02 12:27
Ik wil Qmail draaien met md5 authenticatie zoals m'n topic titel al zegt. Ik heb voor het grootste deel de handleiding voor qmail van http://www.qmailrocks.org/qmail.htm gevolgd, voor de rest wat samenvoegingen van deze met http://www.euronet.nl/users/erhnam/linux/qmail/qmail.htm .

Het probleem is dit, volgens mijn mailclient The Bat 2:
bezig met verzenden berichten - 1 bericht(en) in de wachtrij
verbonden met SMTP server
authenticeren (software CRAM-MD5)...
Server meldt fout. De melding luidt: authorization failed (#5.7.0)
authenticeren (eenvoudig)...
blablabla voltooid :)

Normaal authenticatie gaat dus wel, maar CRAM-MD5 niet. De patches van de qmailrock site zijn JMS patches. Ik gebruik versie auth-jms1.3.patch. Er is ook een nieuwere uit zag ik die ik misschien nog kan proberen, maar deze heeft maar enkele toevoegingen die voor mij geen meerwaarde geven. De site van JMS is: http://www.jms1.net/qmail . Ik heb zojuist die nieuwere ook geprobeerd, maar die doet zoals verwacht precies hetzelfde. Ook heb ik het programma te vinden op de site http://members.elysium.pl/brush/cmd5checkpw geinstalleerd, wat nodig is voor CRAM-MD5.

De JSM patch is een verbeterde versie van de qmail-smtpd-auth patch, te vinden op http://members.elysium.pl/brush/qmail-smtpd-auth . Ik gebruik die omdat die als veiligst bekend staat, nog steeds iemand aan werkt terwijl de andere ontwikkelaar niets meer van zich laat horen op z'n site na begin 2002. Ik kan misschien nog de orginele versie proberen dus, dus niet de JMS gepatchte versie, maar ik verwacht hier geen verschil in te merken, omdat die JMS maar enkele dingen heeft aangepast aan de command line als ik zo lees, en niet heel de code overhoop heeft gehaald.

Hoe draaien jullie Qmail met CRAM-MD5 authenticatie? O ja, ik gebruik Vpopmail als pop server, en ook het wachtwoord check programma wat daarbij hoort. Volgens de orginele patch site voor authenticatie support in qmail heeft zo'n programma hier niets mee te maken, en zoekt de patch zelf op of het CRAM-MD5 onderdeel is geinstalleerd op de bak.

[ Voor 2% gewijzigd door pierre-oord op 03-01-2004 23:12 . Reden: typo :X --> zie blaataap ]

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)


  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 20-02 14:43
pierre-oord schreef op 03 januari 2004 @ 15:46:
Hoe draaien jullie Qmail met CRAM-MD5 authensatie? O ja, ik gebruik Vpopmail als pop server, en ook het wachtwoord check programma wat daarbij hoort. Volgens de orginele patch site voor authensatie support in qmail heeft zo'n programma hier niets mee te maken, en zoekt de patch zelf op of het CRAM-MD5 onderdeel is geinstalleerd op de bak.
vpopmail is geen POP-server. Maar toch heeft het daar wel iets mee te maken :). Ik denk dat je qmail's eigen POP-server gebruikt (qmail-pop3d). Die maakt gebruik van het auth-programma van vpopmail (vchkpw). Daar zal de patch denk ik dan op uit moeten gevoerd. vchkpw kan volgens mij geen MD5 input aan. Maar correct me if I'm wrong :).

zeroxcool.net - curity.eu


  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 20-02 12:27
ow, nou, je begrijpt me iig :) idd gebruik ik dat vchkpw. Maar kan vchkpw dan geen MD5 aan... dan zal ik dus daarvoor een patch moeten zoeken begrijp ik. Ik heb net nog even de orginele patch toegepast, ook zonder succes helaas. Ik leer wel veel van de werking van qmail, da's wel positief :)

edit:
op de vpopmail site zie ik niet meteen iets over md5 staan. Op google vond ik ergens een kort stukje tekst dat het het wel zou ondersteunen, maar ik zie maar weinig goede hits.

edit:
Ik heb debian geloof ik zonder MD5 geinstalleerd, maakt dat nog wat uit? Nee, toch, is toch alleen voor z'n eigen system password file?

edit2:
Je kunt vpopmail met ./configure wel configureren dat het passwords als MD5 opslaat, maar meer niet. Overigens is die optie default, dus dat kan het ook niet zijn.

[ Voor 53% gewijzigd door pierre-oord op 03-01-2004 16:58 ]

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)


  • Infern0
  • Registratie: September 2000
  • Laatst online: 23-01 09:14

Infern0

Hou die ontzettende rust!!

Ik gebruik ook de combo vpopmail qmail en hier werkt cram md5 authenticatie wel.

Ik heb de volgende patch gebruikt:
http://www.tnpi.biz/inter...aster/patches/index.shtml

Misschien moet je een gedeelte van deze patch eens proberen.

http://www.bsdfreaks.nl Home site: http://rob.lensen.nu /me was RobL


  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 20-02 14:43
Ben even voor je op zoek geweest:
http://www.google.nl/sear...-8&oe=UTF-8&start=10&sa=N

Daar vond ik een diff file voor vchkpw:
http://www.fehcom.de/qmail/auth/vchckpw.c.diff

Daar staat weer deze code in (als de file aangepast zou zijn):
C:
1
2
3
4
5
6
/* Check CRAM-MD5 auth */
if(ConnType == SMTP_CONN) {
    printf("vchkpw: smtp auth\n");
    cramaccepted = authcram(ThePass,TheChallenge,vpw->pw_clear_passwd);
    if(cramaccepted == 0) strcpy(AuthType, "CRAM-MD5");
}
Nou ben ik geen held in C, maar ik denk dat je qmail dan eerst maar moet gaan recompilen met de CRAM-MD5 patch. Dan recompile je vpopmail met deze patch applied. Dat zou naar mijn mening moeten werken...

[ Voor 19% gewijzigd door zeroxcool op 03-01-2004 17:24 ]

zeroxcool.net - curity.eu


  • Infern0
  • Registratie: September 2000
  • Laatst online: 23-01 09:14

Infern0

Hou die ontzettende rust!!

Mmm strange ik heb vpopmail niet gepatched voor Cram MD5, dus ik weet niet of de door jouw genoemde patch nog wel nodig is.

http://www.bsdfreaks.nl Home site: http://rob.lensen.nu /me was RobL


  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 20-02 14:43
Zat deze misschien niet bij de qmail toaster erbij?

zeroxcool.net - curity.eu


  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 20-02 12:27
rlensen schreef op 03 januari 2004 @ 17:17:
Ik gebruik ook de combo vpopmail qmail en hier werkt cram md5 authenticatie wel.

Ik heb de volgende patch gebruikt:
http://www.tnpi.biz/inter...aster/patches/index.shtml

Misschien moet je een gedeelte van deze patch eens proberen.
This is a collection of several popular qmail patches rolled into one. The
patches included are:

smtp-auth patch v. 0.31 by Krzysztof Dabrowski <brush@elysium.pl> and
Eric M. Johnston <emj@postal.net>. For more information please see:
http://members.elysium.pl/brush/qmail-smtpd-auth/

TLS patch by Frederik Vermeulen <jos-tls@Kotnet.org>. Here's the original
patch with documentation at the top:
http://www.esat.kuleuven.ac.be/~vermeule/qmail/tls.patch

** The two patches above were merged together by Neal Groothuis.

qmail-queue patch by Bruce Guenter <bguenter-djb-qmail@qcc.sk.ca>. Here's
the link to the original patch, and there is documentaion at the top as well:
http://www.qmail.org/qmailqueue-patch

mfcheck patch (check for valid dns on envelope sender) is Nagy Balazs.
http://lsc.kva.hu/dl/qmail-1.03-mfcheck.3.patch

oversize dns patch by Christopher K. Davis.
http://www.ckdhr.com/ckd/qmail-103.patch

Tarpit patch by Chris Johnson. http://www.palomine.net/qmail/tarpit.html

qregex.patch-20020129 by Unix Pimps. http://www.unixpimps.org/software/qregex/
This adds regular expression matchin go badmailfrom and badmailto.

Big Concurrency patch by Johannes Erdfelt
http://qmail.org/big-concurrency.patch

qmail-maildir++.patch by me. Here's the link to the original patch:
http://shupp.org/patches/qmail-maildir++.patch
This adds maildirquota support to qmail-pop3d only and qmail-local.
Geen bijzondere patches, die eerste heb ik al...
ZeRoXcOoL schreef op 03 januari 2004 @ 17:21:
Ben even voor je op zoek geweest:
http://www.google.nl/sear...-8&oe=UTF-8&start=10&sa=N

Daar vond ik een diff file voor vchkpw:
http://www.fehcom.de/qmail/auth/vchckpw.c.diff

Daar staat weer deze code in (als de file aangepast zou zijn):
C:
1
2
3
4
5
6
/* Check CRAM-MD5 auth */
if(ConnType == SMTP_CONN) {
    printf("vchkpw: smtp auth\n");
    cramaccepted = authcram(ThePass,TheChallenge,vpw->pw_clear_passwd);
    if(cramaccepted == 0) strcpy(AuthType, "CRAM-MD5");
}
Nou ben ik geen held in C, maar ik denk dat je qmail dan eerst maar moet gaan recompilen met de CRAM-MD5 patch. Dan recompile je vpopmail met deze patch applied. Dat zou naar mijn mening moeten werken...
Klinkt wel leuk jah. Ik zal ff wat proberen ermee, alleen de diff file start met: --- ../vpopmail-5.3.27/vchkpw.c Wed Aug 6 02:12:25 2003
+++ vchkpw.c Fri Nov 7 08:59:42 2003 lijkt dus te gaan over vpopmail-5.3.27 en ik heb 5.2.2 (dat is ook de enige van inter7 die te downloaden is.)

edit:
http://sourceforge.net/projects/vpopmail/ --> de 5.3.x versies zijn een test versie voor de 5.4.0 zie ik... niet veel bijzonders, en nog steeds wordt de 5.2.2 als stable aangegeven...

edit2: Die patch patcht ook niet helaas. Zelf in source editten daar heb ik nog niet zo'n ervaring mee, straks maak ik er een mooi beveiligingslek in :X

Ik zal anders eens die 5.3.x versies gaan testen. Maar heeft dat cram MD5 nog een meerwaarde? Ik zag dat outlook express enzo het niet eens ondersteunen. ALs het veiliger is vind ik het toch wel handig, ik gebruik The Bat. Is een SSL connectie anders even veilig, ja toch? Anders doe ik dat...

[ Voor 40% gewijzigd door pierre-oord op 03-01-2004 18:09 ]

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)


  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 20-02 14:43
pierre-oord schreef op 03 januari 2004 @ 17:47:
ALs het veiliger is vind ik het toch wel handig, ik gebruik The Bat. Is een SSL connectie anders even veilig, ja toch? Anders doe ik dat...
Het is eigenlijk dubbelop. Je verstuurt een MD5-hash over een SSL verbinding. Dus SSL alleen volstaat naar mijn mening ook wel.

zeroxcool.net - curity.eu


  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 20-02 12:27
ZeRoXcOoL schreef op 03 januari 2004 @ 18:34:
[...]

Het is eigenlijk dubbelop. Je verstuurt een MD5-hash over een SSL verbinding. Dus SSL alleen volstaat naar mijn mening ook wel.
Jah, idd.

Anders laat ik dat MD5 maar zitten. Is er alleen 1 dingetje: The Bat zoekt eerst naar MD5 authensatie, en vind ook zo'n soort mod op Qmail. Alleen kan qmail hem niet verifieren, waardoor ik bij het verzenden van een bericht zo'n 5 sec moet wachten, waarna The Bat in plain gaat zenden. The Bat is hierop niet aan te passen, en ook voor andere gebruikers heb ik het het liefst zo snel mogelijk. Is het mogelijk om heel dat MD5 autensatie gedoe uit te zetten? Het lijkt mij nogal lastig, ik denk dat je dan echt de source moet gaan aanpassen. Als het daarom werkt, is het wel handig. Verder eens kijken naar een SSL verbinding.

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)


  • blaataaps
  • Registratie: Juli 2001
  • Niet online
Ik heb even de topictitel veranderd, autensatie is namelijk geen woord, authenticatie daarentegen wel :)

  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 20-02 12:27
blaataaps schreef op 03 januari 2004 @ 22:56:
Ik heb even de topictitel veranderd, autensatie is namelijk geen woord, authenticatie daarentegen wel :)
Het lijkt toch op elkaar :P ;) :X

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)


  • Infern0
  • Registratie: September 2000
  • Laatst online: 23-01 09:14

Infern0

Hou die ontzettende rust!!

Denk dat ik je probleem gevonden heb:
http://www.inter7.com/vpopmail/changelog.txt
5.3.6
05/18/02 "Bill Shupp" hostmaster at shupp dot org
- New APOP code for vchkpw. Relies on clear passwords to work.
- APOP arguments removed from vadduser, vpasswd, and vadddomain since
the new APOP code doesn't need them. (still need to remove old APOP
code, update API)
- Added CRAM-MD5 support for SMTP-AUTH only. Requires clear passwords
and the smtp-auth patch (for qmail-smtpd) from:
http://members.elysium.pl/brush/qmail-smtpd-auth/
Ik heb hier 5.3.30 draaien zonder enige problemen
http://aleron.dl.sourceforge.net/sourceforge/vpopmail

http://www.bsdfreaks.nl Home site: http://rob.lensen.nu /me was RobL


  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 20-02 12:27
rlensen schreef op 04 januari 2004 @ 01:34:
Denk dat ik je probleem gevonden heb:
http://www.inter7.com/vpopmail/changelog.txt


[...]


Ik heb hier 5.3.30 draaien zonder enige problemen
http://aleron.dl.sourceforge.net/sourceforge/vpopmail
ah! Het is dus helemaal niet mogelijk met eerdere versie's ! (tenzij je het aanpast natuurlijk) Thx, dit had ik nog niet gezien. Ga straks ff die versie installeren.

edit:
WOEI, het werkt :) en daarvoor is ook geen patch meer nodig.

offtopic:
Ik vind wel dat die makers van qmail hun product eens een beetje mogen bijpatchen, de hoeveelheid patches voor qmail is echt enorm. De qmail-ej-cocktail-14.tar.gz patch is een goeie, maar daar zit een oude SMTP authensatie in, die met SSl een open relay kan maken. Tijd voor een nieuwe qmail...

[ Voor 30% gewijzigd door pierre-oord op 04-01-2004 15:21 ]

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)


  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 20-02 14:43
pierre-oord schreef op 04 januari 2004 @ 11:31:
offtopic:
Ik vind wel dat die makers van qmail hun product eens een beetje mogen bijpatchen, de hoeveelheid patches voor qmail is echt enorm. De qmail-ej-cocktail-14.tar.gz patch is een goeie, maar daar zit een oude SMTP authensatie in, die met SSl een open relay kan maken. Tijd voor een nieuwe qmail...
Maker is het. Ja nogal een conservatieve man :):
http://cr.yp.to/djb.html

qmail gebruikt zijn eigen c libraries en mag niet binary verspreid worden. Verders vind ik het persoonlijk goede software, aangezien ik zelf alleen de qmail-queue patch gebruik. Maak ik via een tcpserver (ook van Bernstein) access file aparte qmail-queue's. Eén met virusscanner een andere met spam scanner en weer een andere met beide. Werkt goed, maar ik ben niet zo'n heel veeleisende user met IMAP, SSL oid...

qmail is snel, stabiel en veilig. Maar het aantal patchen is inderdaad niet normaal.

zeroxcool.net - curity.eu

Pagina: 1